Brief regering : Reactie op verzoek commissie over de laatste stand van zaken in de onderhandelingen over een nieuw adequaatheidsbesluit voor overdracht van persoonsgegevens tussen de EU en de Verenigde Staten (VS), de concrete inzet van Nederland hierin en een eerste reactie op de recordboete die deze week is opgelegd door de Ierse Data Protection Commission, de gegevensbeschermingsautoriteit van Ierland, aan Facebook-moederbedrijf Meta

Nr. 1018
BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 mei 2023

De vaste Kamercommissie Digitale Zaken heeft op 24 mei jl. verzocht om vóór het commissiedebat
Telecomraad op 30 mei aanstaande een brief te ontvangen met daarin de laatste stand
van zaken in de onderhandelingen over een nieuw adequaatheidsbesluit voor overdracht
van persoonsgegevens tussen de EU en de Verenigde Staten (VS), de concrete inzet van
Nederland hierin en tevens een eerste reactie op de recordboete die deze week is opgelegd
door de Ierse Data Protection Commission, de gegevensbeschermingsautoriteit van Ierland,
aan Facebook-moederbedrijf Meta. Met deze brief voldoe ik, mede namens de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties, aan deze wens van uw Kamer.

Adequaatheidsbesluit EU-VS

Op grond van de Algemene verordening gegevensbescherming (AVG) is doorgifte van persoonsgegevens
aan derde landen, zoals de Verenigde Staten, alleen onder bepaalde voorwaarden toegestaan.
Daarbij is van belang dat het derde land een niveau van persoonsgegevensbescherming
waarborgt dat vergelijkbaar is met het niveau dat in de EU wordt verzekerd, zodat
de bescherming die door de AVG wordt geboden niet wordt ondermijnd. Met een adequaatheidsbesluit
stelt de Europese Commissie vast dat een derde land een passend, met de AVG vergelijkbaar
beschermingsniveau biedt. In maart 2022 hebben de Europese Commissie en de VS overeenstemming
bereikt over een nieuw juridisch kader voor de doorgifte van persoonsgegevens, nadat
het EU-adequaatheidsbesluit voor de VS dat bekend is onder de naam «EU-US Privacy
Shield» in juli 2020 ongeldig werd verklaard door het Hof van Justitie van de EU in
de zaak Schrems II. Vervolgens heeft de VS in oktober 2022 een uitvoeringsbesluit (executive order) aangenomen op grond waarvan concrete wijzigingen op het gebied van persoonsgegevensbescherming
zijn geïmplementeerd in nationale wetgeving van de VS.

In vervolg hierop heeft de Europese Commissie in december 2022 een concept adequaatheidsbesluit
gepubliceerd. Conform de toepasselijke comitologie-procedure heeft het European Data
Protection Board (EDPB) in februari 2023 een advies over het conceptbesluit gepubliceerd
waarin het enkele zorgen uitte over de implementatie van dit gegevensbeschermingsraamwerk
aan de kant van de VS. De afgelopen maanden heeft de Europese Commissie gemonitord
of er in de VS overeenkomstig de hierover gemaakte afspraken de juiste stappen worden
genomen om persoonsgegevens adequaat te beschermen.

De Europese Commissie streeft ernaar het adequaatheidsbesluit in de zomer van 2023
aan te nemen. Daarvoor zullen de lidstaten in het zogenaamde artikel 93 Comité worden
gevraagd om over het besluit te stemmen. Voor Nederland is het van belang dat het
nieuwe adequaatheidsbesluit de toets van het Hof van Justitie kan doorstaan. Daarvoor
is vereist dat door de VS wordt voldaan aan alle vereisten die volgen uit de Schrems II-zaak. De inzet van Nederland zal hierop worden gericht. Op dit moment bestudeer ik
daartoe het advies van de EDPB en het concept-adequaatheidsbesluit.

Zolang er geen nieuw adequaatheidsbesluit is genomen, kunnen er nog steeds persoonsgegevens
worden doorgegeven voor zover die doorgifte plaatsvindt onder geleide van «passende
waarborgen», waarbij gebruik kan worden gemaakt van één van de in artikel 46, tweede
lid, van de AVG genoemde instrumenten, zoals «modelcontractbepalingen». Verwerkingsverantwoordelijken
dienen er dan zelf voor te zorgen dat – gelet op de specifieke situatie in het derde
land – het doorgifte-instrument voldoende bescherming biedt en dienen, zo nodig, aanvullende
maatregelen te treffen. Dat laatste conform het bepaalde door het EU-Hof in het Schrems II-arrest.

Boetebesluit Meta

In elke Europese lidstaat wordt door een onafhankelijke toezichthouder toezicht gehouden
op de naleving van de hierboven genoemde vereisten die uit de AVG voortvloeien. Wanneer
in strijd met het AVG-kader internationale gegevensdoorgiften plaatsvinden, kan dat
een reden zijn voor een toezichthouder om in actie te komen. Europese toezichthouders
werken bij een onderzoek naar grensoverschrijdende gegevensverwerking met elkaar samen.
Het onderzoek wordt gedaan door de leidende toezichthouder (het land waar het betrokken
bedrijf diens hoofdvestiging heeft), in nauw overleg met andere de betrokken toezichthouders
(van de landen waar de betrokkenen wonen die worden geraakt).

In het geval van Meta is de Ierse toezichthouder leidende toezichthouder en is de
Nederlandse Autoriteit Persoonsgegevens (AP) een betrokken toezichthouder. Als de
leidende toezichthouder en de betrokken toezichthouders het niet eens zijn over een
ontwerpbesluit, bepaalt de AVG dat het EDPB het geschil beslecht door een bindend
besluit te nemen dat door de leidende toezichthouder in haar eindbesluit dient te
worden overgenomen. Dat is in deze zaak ook gebeurd. De boete aan Meta is dus opgelegd
door de Ierse privacytoezichthouder in samenwerking met de betrokken toezichthouders,
waaronder de AP.

Blijkens de website van de Ierse toezichthouder en de website van het EDPB is in deze
zaak beslist:

• dat het gebruik van Meta van modelcontractbepalingen (standard contractual clauses) voor gegevensdoorgifte naar de VS, niet voldoende bescherming biedt tegen de data
surveillance van de VS veiligheidsdiensten;

• dat de doorgifte van gegevens «systematisch, repetitief en continu» was en miljoenen
EU-burgers raakt, en een boete van de hoogste categorie gerechtvaardigd was. Hierbij
heeft de Ierse toezichthouder gebruik gemaakt van de boeterichtsnoeren van de EDPB.

• de gegevensverwerking door Meta weer in lijn moet worden gebracht met de AVG.

Meta gaat blijkens berichtgeving in de media in beroep tegen deze beslissing. Over
nadere informatie beschik ik thans niet.

Zonder vooruit te willen lopen op de afloop van deze zaak, stel ik vast dat de Ierse
toezichthouder deze week een krachtig signaal heeft afgegeven aan organisaties, namelijk
dat serieuze schendingen van de AVG ook verregaande consequenties hebben. De uitspraak
onderstreept ten aanzien van de VS het belang van een goed gegevensbeschermingsraamwerk
met de EU. Over de ontwikkelingen wordt uw Kamer nader geïnformeerd zodra daartoe
aanleiding bestaat.

De Minister voor Rechtsbescherming,
F.M. Weerwind